Показано с 1 по 19 из 19.

странный драйвер Ygl84.sys NOD ругаеццо (заявка № 19858)

  1. #1
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.07.2007
    Сообщений
    92
    Вес репутации
    45

    Thumbs up странный драйвер Ygl84.sys NOD ругаеццо

    Третий НОД его ругает, но убить не может. И еще целая куча всего поназалетала, думаю, не без его помощи!!
    гонял вебом, нодом, AVZ и Trojan Remover 6.6.8, без толку...
    Прилагаю логи.
    Последний раз редактировалось antivor; 01.06.2008 в 20:22.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Нда... Богато Аж в глазах рябит!

    Для начала выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\vedxga1me4t1.exe','');
     QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA','');
     QuarantineFile('C:\WINDOWS\system32\msgk449.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys','');
     QuarantineFile('c:\windows\system32\maxpaynow1.exe','');
     QuarantineFile('c:\windows\system32\n21ewma1xx1sv2234.exe','');
     QuarantineFile('c:\windows\system32\wind32.exe','');
     QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\system32\msgk387.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
     QuarantineFile('C:\WINDOWS\mrofinu27.exe','');
     QuarantineFile('C:\WINDOWS\system32\alt.exe.exe','');
     QuarantineFile('C:\Documents and Settings\Александр\Local Settings\Temporary Internet Files\Content.IE5\37E8ABML\install_sbd_en[1].exe','');
     QuarantineFile('C:\Documents and Settings\Александр\Local Settings\Application Data\cftmon.exe','');
     QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe','');
     QuarantineFile('C:\Program Files\Common Files\System\wmpisvrs32.dll','');
     QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\system32\wind32.exe','');
     QuarantineFile('C:\WINDOWS\system32\n21ewma1xx1sv2234.exe','');
     QuarantineFile('C:\WINDOWS\system32\maxpaynow1.exe','');
     QuarantineFile('C:\WINDOWS\system32\dllgh8jkd1q7.exe','');
     QuarantineFile('C:\WINDOWS\system32\dllgh8jkd1q6.exe','');
     QuarantineFile('C:\WINDOWS\system32\ctfmona.exe','');
     QuarantineFile('C:\Program Files\NoDNS\NoDNS.exe','');
     QuarantineFile('C:\Program Files\JavaCore\JavaCore.exe','');
     DeleteFile('C:\Program Files\JavaCore\JavaCore.exe');
     DeleteFile('C:\Program Files\NoDNS\NoDNS.exe');
     DeleteFile('C:\WINDOWS\system32\ctfmona.exe');
     DeleteFile('C:\WINDOWS\system32\dllgh8jkd1q6.exe');
     DeleteFile('C:\WINDOWS\system32\dllgh8jkd1q7.exe');
     DeleteFile('C:\WINDOWS\system32\maxpaynow1.exe');
     DeleteFile('C:\WINDOWS\system32\n21ewma1xx1sv2234.exe');
     DeleteFile('C:\WINDOWS\system32\wind32.exe');
     DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     DeleteFile('C:\Program Files\Common Files\System\wmpisvrs32.dll');
     DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe');
     DeleteFile('C:\Documents and Settings\Александр\Local Settings\Application Data\cftmon.exe');
     DeleteFile('C:\Documents and Settings\Александр\Local Settings\Temporary Internet Files\Content.IE5\37E8ABML\install_sbd_en[1].exe');
     DeleteFile('C:\WINDOWS\system32\alt.exe.exe');
     DeleteFile('C:\WINDOWS\mrofinu27.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
     DeleteFile('C:\WINDOWS\system32\msgk387.exe');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
     DeleteFile('c:\windows\system32\wind32.exe');
     DeleteFile('c:\windows\system32\n21ewma1xx1sv2234.exe');
     DeleteFile('c:\windows\system32\maxpaynow1.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
     DeleteFile('C:\WINDOWS\system32\msgk449.exe');
     DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA');
     DeleteFile('C:\WINDOWS\system32\vedxga1me4t1.exe');
    BC_ImportALL;
    BC_DeleteSvc('catchme');
    BC_DeleteSvc('FCI');
    BC_DeleteSvc('CcEvtSvc');
    BC_DeleteSvc('CbEvtSvc');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=19858).
    Сделайте новые логи, будем смотреть дальше.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.07.2007
    Сообщений
    92
    Вес репутации
    45

    продолжаем...

    карантин приислал, логи прилагаю.
    большинство полечилось, но в процессах что-то не то болтается.
    Последний раз редактировалось antivor; 01.06.2008 в 20:22.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    1. Очистите карантин ДрВеба:
    C:\Documents and Settings\Администратор\DoctorWeb\Quarantine

    2. Пофиксите в HijackThis:
    Код:
    O4 - HKLM\..\Run: [WinMed] winmed.exe
    O4 - HKCU\..\Run: [JavaCore] C:\Program Files\\JavaCore\\JavaCore.exe
    O4 - HKCU\..\Run: [NoDNS] C:\Program Files\\NoDNS\\NoDNS.exe
    O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)
    3. Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('Scyb41');
     SetServiceStart('Scyb41', 4);
     DeleteFile('C:\WINDOWS\System32\Drivers\Scyb41.sys');
     DeleteFile('C:\Program Files\Common Files\System\wmpisvrs32.exe');
    BC_ImportDeletedList;
     BC_DeleteSvc('Ygl84');
     BC_DeleteSvc('Scyb41');
     BC_DeleteSvc('oqtxde');
     BC_DeleteSvc('wmpisvrs32k');
     BC_DeleteSvc('WmiApSrvRasAuto');
     BC_DeleteSvc('ThemesProtectedStorage');
     BC_DeleteSvc('Schedule');
     BC_DeleteSvc('SCardSvrstisvc');
     BC_DeleteSvc('Google Online Search Service');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    4. Сделайте новые логи, начиная с п.10 правил.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.07.2007
    Сообщений
    92
    Вес репутации
    45

    похоже на победу!!

    Процессы похоже нормализовались. комп не тормозит, криминала не видно, по крайней мере мне!
    Прилагаю логи на всякий случай!
    Последний раз редактировалось antivor; 01.06.2008 в 20:22.

  7. #6
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Поищите при помощи АВЗ сервис--поиск файлов на диске wmpisvrs32.dll, riode32.sys и пришлите их согласно приложения 2 правил.

  8. #7
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.07.2007
    Сообщений
    92
    Вес репутации
    45

    еще есть!

    При добавлении в карантин второго файла руганулсо NOD32...
    так что видно еще что-то есть!
    Ладно, карантин с 2 файлами выслал, жду вердикт!

  9. #8
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    riode32.sys - Trojan.Win32.Srizbi.j, wmpisvrs32.dll - Trojan.Win32.Pakes.civ
    Выполните в АВЗ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     SetServiceStart('wmpisvrs32', 4);
     StopService('wmpisvrs32');
     DeleteFile('C:\Program Files\Common Files\System\wmpisvrs32.dll');
     DeleteFile('C:\WINDOWS\system32\drivers\riode32.sys');
    BC_ImportAll;
    BC_DeleteSvc('wmpisvrs32');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите логи.

  10. #9
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.07.2007
    Сообщений
    92
    Вес репутации
    45
    сделано. логи прилагаю.
    Последний раз редактировалось antivor; 01.06.2008 в 20:21.

  11. #10
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Выполните в АВЗ
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\AdvancedCleaner Free\ian_monitor.exe','');
     QuarantineFile('C:\WINDOWS\system32\khooker.exe','');
     DeleteFile('C:\WINDOWS\system32\khooker.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Загрузите карантин согласно приложения 3 правил.

  12. #11
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.07.2007
    Сообщений
    92
    Вес репутации
    45

    нема таких...

    карантин я прислал, но он пустой, по-моему!
    антивирь и автоматическое обновление вроде отключены были на момент выполнения скрипта.
    он отругался, после перезагрузки искал АВЗ файло, которое в скрипте фигурировало, ниичего не нашлось...

  13. #12
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Тогда дайте новые логи. Да карантин пустой.

  14. #13
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.07.2007
    Сообщений
    92
    Вес репутации
    45

    логи

    нате есть что?
    Последний раз редактировалось antivor; 01.06.2008 в 20:21.

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    ian_monitor.exe поищите через авз - сервис- поиск файлов на диске .... если найдется пришлите по правилам .....

  16. #15
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.07.2007
    Сообщений
    92
    Вес репутации
    45

    Нашел!!!

    Короче говоря, сделал поиск ian_monitor.*
    Нашел в C:\windows\prefetch такую вещь, которую в карантине прислал.
    Каталог prefetch вычистил total comanderом с удалением мимо корзины.

    P.s. на сегодня я покидаю рабочее место! руководство к действию оставьте, завтра выполню по полной!
    Последний раз редактировалось antivor; 20.03.2008 в 06:08. Причина: дописка

  17. #16
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Подождём, что скажут по его поводу аналитики.

  18. #17
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.07.2007
    Сообщений
    92
    Вес репутации
    45
    простите, не хочу никого напрягать, но у меня человек без сети сидит в целях карантина...
    Аналитики про нас не забыли?

  19. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    присланный файл чистый ....
    какие-то проблемы остались ?

  20. #19
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.07.2007
    Сообщений
    92
    Вес репутации
    45
    я проблем не вижу. просто пока не убедился закрыл сеть
    Все, спасибо всем!!! не сомневался в вас!

  • Уважаемый(ая) antivor, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Неизвестный драйвер
      От SergioR в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 19.02.2011, 17:08
    2. Драйвер
      От Ольга_ в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 29.07.2010, 12:23
    3. Неубиваемый драйвер ++
      От nismoxid в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 05:24
    4. Странный драйвер
      От Serrrgio в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 18.02.2009, 22:23

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00862 seconds with 16 queries